Worm/Zafi.D - Worm

это описание доступно в

Резюме

Подробное описание

Статистика

Имя:	Worm/Zafi.D
Обнаружен:	14/12/2004
Вид:	Червь
В реальных условиях:	Да
Отмеченные факты заражения:	Средний
Потенциал распространения:	От среднего до высокого
Потенциал повреждений:	Средний
Файл статистики:	Да
Размер файла:	11.745 байт.
Контрольная сумма MD5:	387ea0a6f410281971b3fc53b7777a40
Версия VDF:	6.29.00.15

Общее Метод распространения:
   • Email
   • Одноранговая сеть

Псевдонимы (аliases):
   • Symantec: W32/Zafi.d@MM
   • Mcafee: W32/Zafi.d@MM
   • Kaspersky: Email-Worm.Win32.Zafi.d
   • Sophos: W32/Zafi-D
   • Grisoft: I-Worm/Zafi.D
   • Bitdefender: Win32.Zafi.D@mm

Операционные системы:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003

После запуска выдается следующая информация:

Файлы Создается собственная копия:
• %SYSDIR%\Norton Update.exe

Создаются следующие файлы:

– Файл с содержащимися в нем Email адресами:
• %SYSDIR%\%Случайно%.dll

– C:\s.cm

Реестр Добавляется ключ реестра для повторного запуска процесса после перезагрузки системы.

– HKLM\Software\Microsoft\Windows\CurrentVersion\Run
   • "Wxp4" = "%SYSDIR%\Norton Update.exe"

Добавляется следующий ключ реестра:

– [HKLM\Software\Microsoft\Wxp4]
   • rD=dword:00000101
   • t1="%актуальное имя пользователя%"
   • t3="%SYSDIR%\Norton Update.exe"
   • t4="%SYSDIR%\%случайная буквенная комбинация%.dll"
   • lA="%PROGRAM FILES%\MSN\MSNCoreFiles"

Email Программа располагает собственным SMTP ядром для рассылки электронных писем. Устанавливается прямое соединение с удаленным сервером. Подробности приводятся здесь:
Язык отправленного почтового сообщения зависит от "национальности" домена высшего уровня.

От:
Адрес отправителя был фальсифицирован.

Кому:
– В определенных файлах системы были обнаружены электронные адреса.
– Полученные из WAB (адресная книга Windows) адреса электронной почты
– Сгенерированные адреса

Тема:
Одно из следующих:
   • Christmas - Kartki!
   • Christmas Vykort!
   • Christmas Kort!
   • Christmas Postkort!
   • Christmas postikorti!
   • Christmas Atviruka!
   • Weihnachten card.
   • Prettige Kerstdagen!
   • Christmas pohlednice
   • Fw: ecard.ru
   • Fw: Merry Christmas!
   • Merry Christmas!
   • Re: Merry Christmas!
   • Weihnachten card.
   • Joyeux Noel!
   • Buon Natale!

Тело:
– Содержит HTML код.

Прикрепленный файл:
Имена прикрепелнных файлов образуются следующим образом:

   • kartki
   • link
   • postcard
   • weihnachten
   • vykort
   • postkort
   • postikorti
   • atviruka
   • kerstdagen
   • pohlednice
   • ecarte
   • cartoline
   • navidad

   • christmas
   • card
   • postcard
   • index
   • kartki
   • link
   • postcard
   • weihnachten
   • vykort
   • postkort
   • postikorti
   • atviruka
   • kerstdagen
   • pohlednice
   • ecarte
   • cartoline
   • navidad

    Иногда содержит в конце одну из следующих строк:
   • christmas
   • index

    Имеет одно из следующих фальшивых расширений файлов:
   • gif%случайная комбинация из четырех букв%
   • jpg%случайная комбинация из четырех букв%
   • php%случайная комбинация из четырех букв%

    Одно из следующих расширений файла:
   • zip
   • cmd
   • bat
   • pif

Пример имён вложенных файлов:
   • postcard.christmas.jpg7230.cmd
   • vykort.index.jpg8253.zip
   • weihnachten.christmas.php3720.pif

Прикрепленный архивный файл содержит копию потенциально опасной программы.

Письмо выглядит следующим образом:

Отправка Поиск адресов:
Проверка следующих файлов на наличие в них электронных адресов:
   • htm; wab; txt; dbx; tbb; asp; php; sht; adb; mbx; eml; pmr; fpt; inb
Применяется аналогичный ранее упоминавшемуся списку перечень доменных имен.

Одно из следующих доменных имен:
   • .hu; .sp; .ru; .dk; .ro; .se; .no; .fi; .lt; .pl; .pt; .de; .nl; .cz;
      .fr; .it; .mx; .at; .es

Избегает обращение по адресу:
Не отправляются письма на адреса с одной из следующих последовательностей символов:
   • yaho; google; win; use; info; help; admi; webm; micro; msn; hotm;
      suppor; syman; viru; trend; secur; panda; cafee; sopho; kasper;

P2P Предпринимаемые для инфицирования других систем в одноранговой сети действия:   Производится поиск содержащих одну из следующих последовательностей знаков папок
   • share
   • upload
   • music

   При успешном завершении поиска создаются следующие файлы:
   • winamp 5.7 new!.exe
   • ICQ 2005a new!.exe

   Файлы являются копиями потенциально опасной программы

Завершение процесса Завершение процессов со следующими последовательностями в именах:
   • firewall
   • virus
   • reged
   • msconfig
   • task

Backdoor Открывается порт:
по TCP порту 8181 для обеспечения backdoor функции.

Разное Мьютекс:
Создается мьютекс:
• Wxp4

Данные файла Язык программирования:
Программа была написана на MS Visual C++.

Паковщик:
Для осложнения определения и сокращения размера файла он был запакован следующим паковщиком:
• FSG 2.0

Краткое описание см. здесь.

Описание добавлено: Ernest Szocs Fri, 26 Oct 2007 09:44 (GMT+1)
Описание обновлено: Ernest Szocs Fri, 26 Oct 2007 12:39 (GMT+1)

» About Malware
» About Phishing
» Viruses In the Wild

« back